Política de Privacidad de Empleados

La Política de Privacidad de Empleados define requisitos de privacidad para los datos personales de los empleados dentro del Sistema de Gestión de la Privacidad de la Información. Su alcance incluye la recogida, el uso, la divulgación, la vinculación con el calendario de conservación, el aviso, la gestión de derechos, la monitorización, el soporte del encargado del tratamiento y la gestión de evidencias de los datos personales de los empleados. La política se aplica en contextos de responsable del tratamiento y corresponsable del tratamiento cuando la organización determina los fines y medios del tratamiento de datos personales de los empleados, y también en contextos de encargado del tratamiento y subencargado del tratamiento cuando la organización trata datos personales de empleados bajo instrucciones documentadas. Los datos personales de los empleados se definen de forma amplia para incluir información relativa a empleados, candidatos a empleo, antiguos empleados, contratistas, personal temporal, becarios, personal en comisión de servicio y otros participantes de la plantilla cuando la organización trata sus datos personales para fines de plantilla, contratación, empleo, relación laboral, compensación, beneficios, seguridad, cumplimiento, administración del lugar de trabajo o fines profesionales relacionados. Una característica central de la política es su modelo de evidencias. La política no crea un registro separado de privacidad de RR. HH., registro de privacidad de empleados, registro de monitorización de empleados, registro de proveedores de RR. HH., registro de derechos de empleados ni registro de incidentes de empleados. En su lugar, exige que las evidencias de tratamiento de empleados se mantengan en los registros canónicos del PIMS: REG02 para el inventario de tratamientos y la vinculación con el calendario de conservación, REG04 para riesgos de privacidad y criterios de activación de EIPD, REG06 para solicitudes de derechos de los empleados, REG07 para avisos de privacidad de empleados, REG08 para encargados del tratamiento y proveedores de RR. HH., REG10 para incidentes de datos personales de empleados y REG12 para excepciones, no conformidades, acciones correctivas, monitorización y evidencias de mejora. Esta estructura respalda el propósito de la política: los datos personales de los empleados deben tratarse únicamente para fines de plantilla documentados, aprobados, transparentes, proporcionados y sujetos a responsabilidad proactiva, evitando a la vez una capa de evidencias duplicada específica de RR. HH. Las declaraciones de la política establecen controles operativos detallados para el ciclo de vida de los datos de empleados. Antes de que los datos personales de los empleados se recojan, generen, importen, usen o divulguen, el Propietario del proceso / propietario de la empresa debe registrar la actividad de tratamiento de empleados en REG02, incluidas las categorías de datos personales, población de empleados, fuente de recogida, finalidad del tratamiento, sistemas, categorías de destinatarios internos y externos, y vinculación con el calendario de conservación. Los avisos de privacidad de empleados deben mantenerse en REG07 antes de la recogida directa o indirecta para una finalidad nueva o modificada materialmente. La política exige que los datos personales de los empleados se usen únicamente para finalidades aprobadas registradas en REG02, y exige que las categorías de destinatarios internos, las condiciones de necesidad profesional y las divulgaciones externas recurrentes se documenten antes de iniciar la divulgación. La sospecha de divulgación, acceso, pérdida o uso indebido de datos de monitorización no autorizados debe derivarse a REG10 en el plazo de un día hábil desde su identificación. La gobernanza de derechos de empleados, monitorización y proveedores de RR. HH. recibe atención específica. Las solicitudes de derechos de los empleados deben registrarse o derivarse en REG06 en el plazo de dos días hábiles, con aportaciones del propietario del proceso debidas en un plazo de cinco días hábiles desde su asignación. Las solicitudes complejas que impliquen registros de monitorización, registros de verificación de antecedentes, categorías especiales de datos personales, datos personales de empleados de terceros, restricciones legales o toma de decisiones automatizada requieren asesoramiento del Delegado de Protección de Datos / asesor de privacidad antes de la denegación, ampliación, restricción o gestión compleja. La monitorización de empleados debe documentarse en REG02 antes de su habilitación o cambio material, derivarse a REG04 para evaluación preliminar de riesgos de privacidad o evaluación preliminar de EIPD cuando se active, estar respaldada por evidencias vigentes de aviso o comunicación en REG07 y someterse a muestreo en REG12 al menos una vez al año cuando esté incluida en REG02. Los encargados del tratamiento de RR. HH., proveedores de nómina, HRIS, beneficios, verificación de antecedentes y servicios externalizados de RR. HH. deben registrarse en REG08 antes de que los datos personales de los empleados se divulguen al proveedor, sean accedidos por este o se traten a través de él. Las disposiciones de gobernanza asignan responsabilidades recurrentes de supervisión y aplicación. El Responsable de Privacidad / Responsable del PIMS debe realizar revisiones trimestrales de evidencias de privacidad de empleados en REG02, REG04, REG06, REG07, REG08, REG10 y REG12, mientras que la Alta Dirección aprueba los cambios materiales de la política y las excepciones de privacidad de empleados de alto riesgo. Las métricas incluyen el porcentaje de actividades de tratamiento de empleados con registros REG02 vigentes, la vigencia de los avisos de privacidad de empleados, los elementos abiertos de riesgo de privacidad de empleados y derivaciones de EIPD, el cumplimiento de plazos de las solicitudes de derechos de empleados, la finalización de revisiones de proveedores de RR. HH. y las tendencias de incidentes de datos personales de empleados cuando se produzcan incidentes. Las excepciones deben registrarse en REG12 antes de la desviación, se les debe asignar una fecha de caducidad no superior a 90 días y deben revisarse antes de su vencimiento. La aplicación exige no conformidades en REG12 cuando falten evidencias requeridas de privacidad de empleados, impide la aprobación de la monitorización de empleados sin las evidencias requeridas y permite suspender nuevas divulgaciones de datos personales de empleados a proveedores de RR. HH. cuando falten evidencias del encargado del tratamiento, subencargado del tratamiento, instrucciones o asistencia.